Navigation
Pénétrer dans les systèmes informatiques pour en identifier et consolider les failles: c’est la spécialité de Halim, pirate éthique établi à Genève. Entre discrétion imposée et paranoïa assumée, il lève un bout de voile sur sa profession.
Photo prétexte. Voici l’image, souvent fausse, que l’on se fait d’un hacker: un homme portant un sweatshirt noir à capuche. (Photo: Getty Images / iStock)
Faire du hacking éthique, ça signifie quoi?
À la demande de mes clients, je pénètre le réseau de leur société dans les conditions réelles d’une cyberattaque. De manière non destructive, je trouve les failles de leur système, leur explique où elles se trouvent, j’analyse pourquoi elles existent et enfin je propose des solutions pour résoudre les problèmes. Évidemment, tout est calé au niveau juridique avant mon intervention. Je n’opère jamais dans l’illégalité et ne conserve aucune donnée.
Trouvez-vous toujours une brèche dans les systèmes?
Oui! Et c’est d’autant plus problématique que la moindre faiblesse s’exploite. Avec un matériel bien configuré qu’on peut acheter n’importe où et les compétences qui vont avec, on peut tout imaginer, quasiment tout faire. Mais c’est surtout une question de compétences. On voit beaucoup de sociétés soi-disant spécialisées se créer, où les gens sont bardés de diplômes. Mais ce n’est que du marketing. Ils n’y connaissent rien, le hacking ne s'apprend pas dans un cursus scolaire.
Comment en arrive-t-on à traquer ces failles?
Un hacker n’est pas un pirate. C’est un bricoleur, qui se débrouille avec peu de moyens pour parvenir à l’objectif qu’il s’est fixé. C’est un état d’esprit, une manière d’aborder les problèmes avant d’être une activité liée à l’informatique. Quand j’étais petit, mon père bloquait la télévision avec la télécommande qu'il cachait. Mais je trouvais toujours le moyen de contourner la sécurité. J'aurais pu faire fortune auprès du fabriquant en lui démontrant cette faille dans les années 1990.
Quelles méthodes utilisez-vous pour entrer dans les systèmes d’une entreprise?
Il y a différents types d’attaques. D’abord l’ingénierie sociale. C’est la manipulation de l’humain – d’un employé par exemple – pour obtenir l’information souhaitée. Ensuite l’attaque à distance, par exemple depuis la terrasse du café où nous nous trouvons, je peux tenter d’accéder à un réseau via le WiFi ou d'autres signaux. Et puis il y a la Red Team, une attaque où l’on doit se connecter physiquement au système. Là, ça demande de pénétrer dans des locaux et tous les moyens sont bons pour y parvenir, avec l'autorisation du client mais sans le prévenir de la date de l'intervention.
Halim, trentenaire, est un spécialiste certifié de l’audit en cybersécurité. Il ne vient pas pour autant d’une grande école d’informatique. «J’ai tout appris tout seul. Il faut être un loup pour attraper un loup», résume-t-il en citant son film préféré, Training Day. Aussi pudique sur son parcours que sur les clients qui le mandatent, il a fait du hacking éthique sa profession depuis dix-sept ans, dont dix en Suisse. En 2020, il a créé la Hacking Company, installée à Genève.
Qui fait appel à vos services?
J’ai une grande expérience dans l’industrie lourde. Auprès d’entreprises qui doivent se protéger de l’espionnage de la concurrence et des accidents biologiques. Mettons que vous produisez du fromage ou un vaccin avec une recette unique. Si un concurrent vous vole cette recette et revend le même produit que vous mais moins cher, votre société risque de couler.
Des particuliers font-ils partie de votre clientèle?
J’ai toutes sortes de demandes, parfois farfelues. J’accepte surtout de travailler pour des parents qui s’inquiètent parce que leur enfant broie du noir et souhaitent savoir ce qu’il dit sur les réseaux. Je leur propose toujours d’aborder en premier lieu le problème avec leur enfant, mais s’il subsiste un doute, je vais jeter un oeil à son activité en ligne.
La diversité de vos clients est-elle la preuve que tout le monde est concerné par le piratage?
Tout est connecté aujourd’hui et 99,99% des gens ne savent pas où vont les informations qu’ils dévoilent en ligne. Êtes-vous certain que les images de la caméra qui surveille votre bébé restent bien chez vous? Il faut savoir être parano. Comprendre qu’être observé et piraté peut avoir de graves conséquences, sur le chiffre d’affaires d’une entreprise comme sur la réputation d’un particulier.
C’est la raison pour laquelle vous ne donnez que votre prénom et ne souhaitez pas être photographié?
Ce n’est pas pour entretenir le mythe du hacker; la preuve, je ne bois pas de Red Bull et ne porte pas de sweatshirt noir à capuche. Et je n’ai pas l’ambition d’être un fantôme. Mais je n’ai pas envie que les gens se renseignent trop sur moi ou d’être davantage référencé sur Google.
Faire preuve de discrétion, c’est le conseil que vous donnez pour se prémunir contre les attaques?
Plutôt de savoir faire preuve de paranoïa. Je devrais même donner des cours de paranoïa. Quelle que soit la faille, à un moment ou à un autre, sa cause est humaine. Parce que les gens ne sont pas suffisamment sensibilisés au problème. La pédagogie est une dimension importante de mon travail. Après avoir pénétré un système, j’organise une longue session de sensibilisation. Et j’aimerais intervenir dans les écoles. Car le cyberharcèlement est l’une des causes du décrochage scolaire.
